image

Microsoft ontkent fout in Windows patch

zaterdag 14 maart 2009, 11:49 door Redactie, 11 reacties

Beveiligingsupdate MS09-008 die vier lekken in Windows dicht, werkt gewoon naar behoren, zo heeft Microsoft laten weten. Een paar uur na het verschijnen van de update op patchdinsdag, kwam beveiligingsonderzoeker Tyler Reguly met het nieuws dat die geen volledige bescherming biedt. Het WPAD Registration lek laat een aanvaller man-in-the-middle aanvallen tegen Windows DNS servers uitvoeren. WPAD is de Web Proxy Auto-Discovery en zorgt ervoor dat clients zonder tussenkomst van de gebruiker automatisch de proxy instellingen detecteren. De gebruiker downloadt de WPAD instelling van de DNS server. Een aanvaller zou dan zijn eigen IP-adres kunnen opgeven, waardoor al het verkeer van de gebruiker via zijn proxy loopt.

Nu blijkt dat servers die al via dit lek gehackt zijn en waarvan de waardes al zijn aangepast, niet van de patch profiteren. De patch kijkt alleen welke waarden in de DNS server zijn aangemaakt en voegt vervolgens een blocklist voor nieuwe waarden toe, terwijl de oude instellingen gewoon blijven werken. Volgens Reguly teken dat Microsoft functionaliteit voor veiligheid opoffert.

Geen morning-after pil
"Er zijn claims die beweren dat deze update niet werkt. Laat me duidelijk zijn dat deze update je beschermt en zo snel als mogelijk moet worden uitgerold", aldus MSRC Program Manager Maarten Van Horenbeeck. In een technische analyse van de vier kwetsbaarheden gaat hij dieper in op de problemen en scenario's hoe aanvallers ze kunnen misbruiken.

Wat betreft het probleem dat Reguly schetst, geeft Van Horenbeeck toe dat de update, of welke beveiligingsupdate Microsoft ook uitbrengt, hier geen bescherming tegen biedt. "Security updates zijn bedoeld om systemen tegen toekomstig misbruik te beschermen en maken aanvallen die in het verleden hebben plaatsgevonden niet ongedaan." De update kan gewoon niet weten of bepaalde WPAD instellingen door een aanvaller of systeembeheerder zijn toegevoegd. Bedrijven die zich zorgen maken kunnen via de DNS MMC snap-in de huidige WPAD/ISATAP instellingen in hun DNS zones controleren, zo gaat de program manager verder.

Reacties (11)
14-03-2009, 15:30 door Anoniem
Lekker veilig dat Windows, NOT! Het zal wel weer een feature zijn.
Ik ga maar weer terug naar Firefox.
14-03-2009, 21:29 door Anoniem
@Anoniem (15:30): Tuurlijk... Firefox ondersteund ook WPAD. MS09-008 fixed bugs in de Microsoft DNS server. Als jouw DNS server ook een ongepatchte Microsoft DNS server is dan ben je dus net zo kwetsbaar.
15-03-2009, 10:43 door Anoniem
Patches zijn altijd tegen toekomstig misbruik, als je al gehacked bent op wat voor manier dan ook dan helpt geen enkele patch daar meer tegen. Ik zie niet in waarom dat in deze situatie anders zou moeten zijn.

Ik snap de ophef dus niet zo, ik heb meer de indruk dat Reguly graag aandacht wil over de rug van MS.
15-03-2009, 12:30 door Willem 2
Ach, als je maar blijft roepen dat Windows onveilig is en in alle talen zwijgt over lekken in de anderen, zijn er natuurlijk altijd weer mensen die daar verkeerde conclusies aan verbinden. Ga jij maar lekker terug naar Firefox hoor. Dat is toch zó veilig he. Al die lekken die daarin gevonden worden, zijn natuurlijk allemaal "veilige" lekken.
15-03-2009, 12:53 door Anoniem
Door Willem 2Ach, als je maar blijft roepen dat Windows onveilig is en in alle talen zwijgt over lekken in de anderen, zijn er natuurlijk altijd weer mensen die daar verkeerde conclusies aan verbinden. Ga jij maar lekker terug naar Firefox hoor. Dat is toch zó veilig he. Al die lekken die daarin gevonden worden, zijn natuurlijk allemaal "veilige" lekken.

Kom op, zelfs doorgewinterden Windows liefhebbers weten dat Windows gatenkaas is.

Herinner mij nog van de anti-trust case van een interne e-mail van MS, dat er geklaagd werd dat zelfs Vista niet on par is met Mac.
15-03-2009, 13:40 door Karl Hungus
Klinkt logisch, als deze patch op eigen houtje DNS instellingen zou gaan wijzigen, dán zou het pas echt leuk worden. En natuurlijk worden hier door sommige mensen verkeerde "conclusies" uit getrokken. - (mompelt iets over preoccupatie)
15-03-2009, 19:14 door rob
Ik ben geen microsoft fan.

Maar hierin hebben ze gewoon gelijk. En dat heb ik in het eerste "nieuws" bericht hierover ook al gecommentarieerd.
16-03-2009, 08:36 door Karel 1
Door Anoniem
Door Willem 2Ach, als je maar blijft roepen dat Windows onveilig is en in alle talen zwijgt over lekken in de anderen, zijn er natuurlijk altijd weer mensen die daar verkeerde conclusies aan verbinden. Ga jij maar lekker terug naar Firefox hoor. Dat is toch zó veilig he. Al die lekken die daarin gevonden worden, zijn natuurlijk allemaal "veilige" lekken.

Kom op, zelfs doorgewinterden Windows liefhebbers weten dat Windows gatenkaas is.

Herinner mij nog van de anti-trust case van een interne e-mail van MS, dat er geklaagd werd dat zelfs Vista niet on par is met Mac.
O ja joh? Goh, lekker objectief zeg. jij kwekt ook maar met de massa mee. Wel eens van dat "geweldige" Safari gehoord? Of die rampen in het OS van Apple? Je moet maar hopen dat Apple nooit groot wordt, want dan zou je wel anders piepen als iedere gek Apple gaat aanvallen. Nou heeft het niet veel zin omdat je er niet mee in de publiciteit komt.
16-03-2009, 10:15 door [Account Verwijderd]
[Verwijderd]
16-03-2009, 11:16 door Anoniem
De laatste MS-patch werd gewoon niet uitgevoerd (instelling "Kennisgeving ontvangen"). Er kwam een melding dat er updates zijn en dat die konden worden gedownload. Ik gaf de opdracht dat te doen. Hierna verdween het icoontje en kwam nooit meer terug. Pas nadat ik handmatig de MS update had uitgevoerd, werd de installatie voorgezet. Dat vreemde gedrag van de laatste update kwam op 8 pc's voor en was dus geen probleem met een foute instelling van 1 pc.
16-03-2009, 12:29 door Anoniem
Door AnoniemDe laatste MS-patch werd gewoon niet uitgevoerd (instelling "Kennisgeving ontvangen"). Er kwam een melding dat er updates zijn en dat die konden worden gedownload. Ik gaf de opdracht dat te doen. Hierna verdween het icoontje en kwam nooit meer terug. Pas nadat ik handmatig de MS update had uitgevoerd, werd de installatie voorgezet. Dat vreemde gedrag van de laatste update kwam op 8 pc's voor en was dus geen probleem met een foute instelling van 1 pc.

Begrijp ik nu goed dat je de 008-patch op PC's hebt uitgerold?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.